Két biztonsági cég, a Trend Micro és az Avast is felfigyelt egy, a Google alkalmazás-áruházába bekerült kártevőre – GhostTeamnek nevezték el. Legalább 56 androidos alkalmazásba fészkelte be magát – írja a The Hacker News. A malware célja, hogy ellopja a facebookos bejelentkezési adatokat, emellett nemkívánt reklámokkal is bosszantja a felhasználót. A rosszindulatú appok között található QR-kód-szkenner, iránytű, rendszertisztító, videoletöltő alkalmazás.

Avast

Mint nagyon sok egyéb malware-fertőzött app esetében, ezek az alkalmazások sem tartalmaznak rosszindulatú kódot (ezért is kerülhettek be a Google Play áruházba). Viszont ahogy telepítik őket, meggyőződnek arról, hogy az eszköz nem emulátor vagy virtuális környezet. Ezután letöltenek egy kódot, amelyik – az eszköz feletti ellenőrzés megszerzése érdekében – ráveszi a felhasználót, hogy hagyja jóvá az adminisztrátori jogosultságot. A fertőző app ezután különféle információkat gyűjt össze a készülékről.

Amint a felhasználó megnyitja a Facebook alkalmazást, a malware felkéri, hogy üsse be a belépéshez szükséges adatokat (klasszikus adathalász módszer). Ezeket ellopja, és elküldi a hackerek távoli szerverére.

Avast

A Trend Micro kutatói arra figyelmeztetnek, hogy az ellopott Facebook-azonosítóval később még több malware-t lehet terjeszteni, kriptopénzt lehet bányászni a felhasználó erőforrásaival és álhíreket lehet zúdítani a legnagyobb közösségi oldalra. A Facebook-hozzáférés ellopásán túl a GhostTeam pop-up hirdetéseket jelenít meg úgy, hogy a telefont állandóan aktív állapotban tartja a reklámok mutatásával a háttérben. Viszont ha a felhasználó interakcióba lép a készülékével, teljes képernyőn mutatja ezeket a hirdetéseket. A kutatók szerint a GhostTeam malware-t egy vietnami fejlesztő készítette, mivel a kódban sokszor előfordul ez a nyelv.

A szóban forgó appokat a Google azonnal eltávolította áruházából, amint jelentették az esetet a biztonsági kutatók. Azoknak a felhasználóknak pedig (elsősorban angol és vietnami nyelvterületről van szó), akik letöltötték valamelyik appot, azt javasolják, mindenképpen engedélyezzék a Google Play Protectet.